Newsletter 4 - 10 febbraio 2002 • Invalidi. Nessuna patologia sulla

Newsletter 4 - 10 febbraio 2002
• Invalidi. Nessuna patologia sulla tessera elettorale
• Mucca pazza. Il Garante vieta l'uso dei dati personali della ragazza
• Videosorveglianza dei lavoratori. Rapporto della Cnil
Invalidi. Nessuna patologia sulla tessera elettorale
Sulla futura tessera elettorale degli invalidi non deve essere annotata alcuna informazione relativa alle
loro infermità. E questo per evitare il rischio che dati sullo stato di salute dell'elettore possano essere
rivelati, anche accidentalmente, a terzi per motivi diversi da quelli strettamente legati allo svolgimento
delle operazioni elettorali. Per essere ammessi all'esercizio del voto assistito basterà che la tessera riporti
un codice o un simbolo, che potrà figurare anche sulla futura tessera elettorale.
Questa l'indicazione dell'Autorità che è stata recepita da un emendamento presentato dal Governo durante
l'esame, in Commissione Affari Costituzionali del Senato, di un disegno di legge che si propone di
agevolare l'esercizio del diritto di voto agli elettori gravemente infermi.
L'indicazione del Garante era contenuta in una risposta fornita al Ministero dell'interno che si era rivolto
all'Autorità chiedendo un parere su alcuni emendamenti alla legge elettorale predisposti dalla stessa
Commissione. Il Ministero aveva sollevato alcune perplessità sull'articolato predisposto dalla
Commissione che prevedeva l'annotazione obbligatoria, sulla carta di identità, di ogni tipo di invalidità,
anche di quelle evidenti, per consentire agli elettori con gravi infermità l'esercizio del voto assistito senza
avere la necessità di esibire ogni volta la certificazione medica. L'Amministrazione riteneva, infatti, che
l'annotazione dei dati relativi allo stato di salute nel documento d'identità solo per poter accedere
all'esercizio del diritto di voto assistito, non fosse in linea con i principi essenziali di tutela della
riservatezza.
L'Autorità ha condiviso questa interpretazione affermando che l'annotazione dai dati relativi alla salute
nel documento di identità risulterebbe una misura ingiustificata rispetto ai principi generali in materia di
tutela della privacy, che prevedono limiti di pertinenza e non eccedenza nel trattamento dei dati personali
rispetto alle finalità perseguite (art. 9 comma 1, legge n. 675/96). L'Autorità ha, inoltre, pur ritenendola
positiva, proposto di modificare la bozza predisposta dal Ministero che prevedeva l'annotazione sulla
tessera elettorale, su richiesta dell'interessato, della dicitura "diritto al voto assistito". Ed ha suggerito
quanto recepito dal Governo e poi approvato in questi giorni dalla Commissione, e cioè che la dicitura
fosse sostituita con l'apposizione di un codice o di un simbolo che non permettesse l'immediata
conoscenza dei dati sull'infermità.
Con l'occasione il Garante ha ricordato al Ministero dell'Interno di aver auspicato, già dall'aprile 2001, un
riesame dell'intera questione riguardante la nuova tessera elettorale, specie per i problemi connessi alla
scheda cartacea, non pienamente conforme ai principi della legge 675/96 per ciò che riguarda la tutela dei
diritti della personalità dell'elettore.
Mucca
pazza.
Il
Garante
(comunicato del 7.2.2002)
vieta
l'uso
dei
dati
personali
della
ragazza
"Siamo di fronte ad una grave violazione della dignità della persona".
L'Autorità Garante per la protezione dei dati personali (composta da Stefano Rodotà, Giuseppe
Santaniello, Gaetano Rasi, Mauro Paissan) ha emesso un provvedimento con il quale si dispone il divieto
di trattamento, da parte dei mezzi di informazione, dei dati personali della ragazza sospetta di aver
contratto la variante umana della malattia di Creutzfeldt-Jacob.
La decisione è stata presa nella riunione odierna, viste le notizie diffuse nei giorni scorsi da molteplici
mezzi di informazione che hanno reso possibile l'identificazione della ragazza. Giornali e mass-media
hanno fornito una dovizia di particolari sulla ragazza, contraria al principio di essenzialità
dell'informazione sancito dalla legge sulla privacy e dal codice deontologico dei giornalisti. E' il primo
caso di divieto alla pubblicazione adottato dal Garante.
La pubblicazione di quella che è una notizia di indubbio interesse generale (la presenza della malattia nel
nostro paese) non rendeva necessario - ha affermato il Garante - alcun riferimento alla specifica persona.
Si è in tal modo concretata una grave violazione della dignità delle persona. La ricordata dovizia di
particolari ha, peraltro, comportato la pubblicazione di notizie relative a congiunti dell'interessata e ad
altre persone estranee ai fatti, con una palese violazione del codice deontologico dei giornalisti.
La diffusione di molte delle notizie, ha osservato l'Autorità Garante, ha verosimilmente la sua origine
nella violazione di specifici obblighi di segretezza da parte di soggetti pubblici e di esercenti la
professione medica. Il pregiudizio riferibile a diversi soggetti a causa della diffusione delle notizie potrà,
ha spiegato l'Autorità, essere fatto valere davanti alla competente autorità giudiziaria.
Constatate dunque, le numerose violazioni delle norme sulla privacy e del codice deontologico per
l'attività giornalistica e constatata l'illiceità del trattamento dei dati personali che rendono identificabili, in
casi come quello in esame, la persona interessata, i suoi congiunti e altre persone non interessate ai fatti,
l'Autorità ha vietato il trattamento dei dati da parte dei mezzi di informazione.
Il Garante ha inviato, per le valutazioni di loro competenza, il provvedimento agli editori, ai direttori
responsabili dei quotidiani, ai Consigli dell'Ordine dei giornalisti, al Consiglio nazionale dell'Ordine dei
medici, alla competenza autorità giudiziaria.
Videosorveglianza dei lavoratori. Rapporto della Cnil
L'autorità francese incaricata della protezione dei dati personali (CNIL, Commission Informatique et
Libertés) ha pubblicato nei giorni scorsi un rapporto sulla sorveglianza elettronica dei lavoratori, in cui fa
il punto della situazione (sia in Francia sia negli altri Paesi dell'UE) e indica alcune raccomandazioni
pratiche ai soggetti in causa.
Il tema della sorveglianza sul luogo di lavoro è stato affrontato più volte dai garanti europei. Oltre alle
iniziative nazionali, in particolare il progetto di codice di condotta messo a punto dall'Autorità inglese
(http://www.dataprotection.gov.uk/..., voce "Codes of Practice") ed uno studio dell'autorità olandese su
Internet e attività lavorative (http://www.registratiekamer.nl/..., per la sintesi in inglese), il Gruppo dei
garanti europei ha approvato un parere (8/2001) sul trattamento dei dati nel rapporto di lavoro
(http://www.europa.eu.int/..., per la sintesi in italiano) e, più in generale, una raccomandazione (2/2001)
sulla raccolta dei dati online (http://www.europa.eu.int/...).
Il rapporto pubblicato dalla CNIL si basa, a sua volta, sui risultati di uno studio e di un dibattito pubblico
conclusosi in Francia nel marzo 2001 in cui erano state esaminate alcune questioni fondamentali attinenti
all'uso della telematica e dell'informatica nel rapporto di lavoro. Il rapporto della CNIL è un contributo
importante, anche in vista della prossima emanazione da parte del Gruppo dei garanti europei di una
raccomandazione concernente in modo specifico questo tema.
La CNIL parte dalla constatazione che i principi stabiliti dalla Legge francese sulla protezione dei dati (la
"Loi informatique et libertés", che risale al 1978) sono stati recepiti nel codice del lavoro attraverso
alcune disposizioni introdotte nel 1992 che sanciscono, in particolare:
a) il rispetto del principio di proporzionalità , in base al quale le limitazioni della libertà e dei diritti
individuali
devono
essere
proporzionate
allo
scopo
perseguito;
b) l'obbligo di consultare le rappresentanze sindacali o gli organi paritetici di impresa prima di introdurre
nuove
tecnologie;
c) l'obbligo di informare preventivamente i lavoratori dell'esistenza di dispositivi per la raccolta di dati
personali.
Tuttavia, lo sviluppo delle tecnologie informatiche nell'ultimo decennio, ed il ricorso crescente ad Internet
e a strumenti telematici nello svolgimento di attività lavorative, hanno fatto sì che il tema della
sorveglianza non riguardi più soltanto la presenza o localizzazione fisica del lavoratore. Si tratti dell'uso
della posta elettronica per comunicare con colleghi o altre imprese, oppure della condivisione di file o
cartelle di lavoro, oppure delle misure di sicurezza che l'impresa o il datore di lavoro devono adottare per
garantire il segreto industriale o la tutela di informazioni sensibili, la questione della sorveglianza ha
assunto chiaramente dimensioni molto più ampie.
In questo contesto, la CNIL sottolinea che, da un lato, le risposte elaborate dal mondo imprenditoriale per
fare fronte ai rischi possibili non sempre sono rispettose delle norme. Ad esempio, il ricorso sempre più
frequente a "schede informative" distribuite ai dipendenti per chiarire diritti e doveri in tema di
trattamento dei dati si risolve talora in un cumulo di divieti che in realtà sono inesistenti in termini di
legge (ad esempio, il divieto assoluto di utilizzare la posta elettronica o Internet, o altre prescrizioni
emanate senza consultare gli organismi paritetici sopra menzionati); in altri casi le imprese fanno firmare
ai dipendenti, al momento dell'assunzione, impegnative scritte con le quali essi rinunciano in pratica ad
ogni diritto di controllare la gestione dei propri dati - secondo un modello di matrice americana. D'altro
canto, le risposte elaborate dalla giurisprudenza sulla base di ricorsi e contestazioni mosse da singoli
lavoratori indicano un approccio nettamente distinto: una sentenza recente della Corte di Cassazione
francese (2 ottobre 2001) ha ricordato in particolare che "il dipendente, anche durante l'orario di lavoro e
sul luogo di lavoro, ha il diritto al rispetto della sua vita privata... il che implica, in particolare, la
segretezza della corrispondenza. Il datore di lavoro non può dunque... accedere a messaggi personali
inviati dal dipendente o da questi ricevuti attraverso strumenti informatici messi a disposizione del
dipendente per svolgere l'attività lavorativa, anche qualora il datore di lavoro abbia preventivamente
vietato l'utilizzazione del computer per fini non professionali".
Naturalmente, come sottolinea la CNIL, ciò non significa che sia vietata ogni forma di sorveglianza o
l'utilizzazione di strumenti di sorveglianza. Il problema è che il trattamento per fini non "tecnici" dei dati
raccolti attraverso strumenti di sorveglianza deve essere proporzionato alle finalità perseguite.
Nell'intento di fornire indicazioni pratiche, il rapporto passa quindi a sfatare due luoghi comuni molto
frequenti in questo contesto, ossia: a) che il pc messo a disposizione del dipendente sia tutelato dalle
norme sulla riservatezza, in quanto "privato", mentre invece resta, ovviamente, proprietà dell'impresa o
dell'amministrazione, e l'uso di password e login serve a prevenire accessi non autorizzati più che a farne
un oggetto "personale" del dipendente; b) che sia sufficiente, per l'impresa, informare preventivamente i
dipendenti dell'uso di strumenti di sorveglianza. In realtà, l'informazione è necessaria, ma non sufficiente:
il codice del lavoro (come del resto in Italia) e la giurisprudenza sanciscono l'obbligo per l'impresa di
rispettare anche altre condizioni.
Quali indicazioni pratiche scaturiscono allora dal rapporto?
a) Il divieto assoluto di utilizzare Internet per fini non professionali è irrealistico nella società
dell'informazione in cui ormai viviamo. L'uso deve essere ragionevole, tale da non mettere a rischio la
sicurezza dell'impresa o dell'amministrazione né da compromettere la produttività. Imprese e
amministrazioni possono, naturalmente, installare dispositivi atti, ad esempio, a filtrare l'accesso a siti non
autorizzati (pornografici, ad esempio) oppure prevedere, per esigenze di sicurezza, il divieto di scaricare
programmi informatici, di collegarsi a forum di discussione o chat. Se l'impresa o l'amministrazione
registra i dati di connessione (durata e siti visitati), occorre prevedere (oltre alla notificazione del
trattamento all'autorità garante) una durata di conservazione dei dati che la CNIL ritiene ragionevole
fissare in sei mesi;
b) il divieto assoluto di utilizzare la posta elettronica, anche in base alla sentenza sopra citata,
non è egualmente ammissibile. Il criterio della ragionevolezza e dell'uso socialmente
accettabile appare offrire utili indicazioni. Anche in questo caso, l'eventuale utilizzo da parte
dell'impresa o dell'amministrazione di dispositivi di controllo individuale comporta la
necessità di notificare il trattamento e di conservare i dati per un periodo non eccessivo - oltre
all'esigenza di consultare i rappresentanti del personale e gli organi paritetici sopra
menzionati;
c) gli archivi delle connessioni (i cosiddetti file di log), che registrano tutte le connessioni o i
tentativi di connessione ad un sistema informatico, hanno finalità eminentemente di sicurezza
e non di controllo del lavoratore. Il lavoratore deve comunque essere informato dell'esistenza
di questo tipo di archivi e della durata di conservazione dei dati, conservazione che la CNIL
ritiene ragionevole fissare, ancora una volta, in sei mesi.
d) se le dimensioni dell'impresa o dell'amministrazione lo consentono, anche in base alla
struttura organizzativa, è opportuno nominare, in cooperazione con le rappresentanze del
personale, una figura che la CNIL chiama il "Delegato alla protezione dei dati ed all'utilizzo
delle nuove tecnologie nell'impresa". Sarà la persona incaricata di seguire la gestione dei dati
personali in termini di sicurezza, diritto di accesso e tutela, e il punto di riferimento
nell'azienda o nell'amministrazione per tutto ciò che riguarda la protezione della vita privata
del lavoratore.
Il rapporto della CNIL offre numerosi spunti di riflessione, anche alla luce della normativa italiana in
materia di lavoro (legge 300/1970) e delle norme che regolano la sicurezza dei dati personali (d.P.R.
318/1999). Daremo conto su questa Newsletter degli sviluppi in materia nelle prossime settimane, in
particolare per quanto riguarda la posizione assunta dalle autorità garanti europee.
Il rapporto della CNIL è disponibile all'indirizzo: http://www.cnil.fr/...